flussi transfrontalieri

Trasferimento dati, c’è l’accordo Ue-Usa: i principi chiave del Trans-Atlantic Data Privacy Framework

Il nuovo attesissimo accordo dovrà essere traslato in un testo definitivo, ma è un segnale importante della volontà degli Usa di attuare riforme che rafforzeranno la privacy e le protezioni dei diritti dei cittadini dopo la sentenza Schrems II. I principi cardine, le mosse della California

31 Mar 2022
Monica Belfi

Legal Specialist, GDPR and Data Protection Specialist

La Commissione europea e gli Stati Uniti venerdì hanno annunciato di aver raggiunto un accordo “in linea di principio” su un nuovo Trans-Atlantic Data Privacy Framework, che dovrebbe garantire la legittimità dei flussi di dati transfrontalieri e superare le criticità sollevate dalla Corte di giustizia dell’Unione Europea nella Sentenza Schrems II del luglio 2020.

Trasferimento dati Ue-USA: prove tecniche di un accordo

Il nuovo attesissimo accordo, che dovrà essere traslato in un testo definitivo, è un segnale importante della volontà concreta da parte degli Stati Uniti di attuare delle riforme che rafforzeranno la privacy e le protezioni dei diritti, applicabili alle attività di intelligence degli Stati Uniti. Nell’ambito del Trans-Atlantic Data Privacy Framework, gli Stati Uniti dovranno mettere in atto nuove misure per garantire che le attività di sorveglianza siano necessarie e proporzionate nel perseguimento di obiettivi di sicurezza nazionale definiti, stabilire un meccanismo di ricorso indipendente con due gradi di giudizio e un’autorità che individui le misure correttive, e dovranno implementare una supervisione rigorosa delle attività di intelligence, per garantire che le limitazioni all’attività di sorveglianza siano effettivamente rispettate.

Il Trans-Atlantic Data Privacy Framework è il risultato di oltre un anno di negoziati tra l’Unione Europea e gli Stati Uniti e mira a fornire una base solida e duratura per i flussi di dati personali, proteggere i diritti dei cittadini e consentire il commercio in tutti i settori dell’economia, anche per le piccole e medie imprese, nonché promuovere un’economia digitale inclusiva.

I principi chiave del Trans-Atlantic Data Privacy Framework

I principi chiave sui quali si fonda il Trans-Atlantic Data Privacy Framework sono i seguenti:

  • I dati potranno essere trasferiti liberamente e in sicurezza tra l‘UE e le aziende statunitensi aderenti;
  • Saranno identificate chiare regole e garanzie vincolanti per limitare l’accesso ai dati personali da parte delle autorità di intelligence statunitensi solo a quanto strettamente necessario e proporzionato per proteggere la sicurezza nazionale; le agenzie di intelligence US dovranno adottare delle procedure per assicurare un’efficace supervisione dei nuovi standard di privacy.
  • Un nuovo sistema di ricorso con due gradi di giudizio per la risoluzione dei reclami dei cittadini europei in relazione all’accesso ai dati da parte delle autorità di intelligence statunitensi, che dovrà includere una Corte “Data Protection Review”;
  • Saranno definiti obblighi stringenti per le aziende che trattano i dati personali trasferiti dall’Unione Europea, con obbligo di autocertificare il rispetto dei Principi attraverso la loro adesione ai principi attraverso il Dipartimento del Commercio degli Stati Uniti;
  • Dovranno essere implementati specifici meccanismi di monitoraggio e revisione.

Vantaggi e prossimi passi

Da questo accordo ci si aspettano notevoli vantaggi, a partire dalla garanzia di un’adeguata protezione dei dati degli europei trasferiti negli Stati Uniti, superando così le numerose difficoltà conseguite successivamente alla sentenza della CJEU. Un accordo compiuto, seguito dalla concreta attuazione di quanto concordato per principi, potrà garantire flussi di dati sicuri e protetti tra UE e USA, offrire una base giuridica duratura e affidabile, supportare un’economia digitale competitiva e una cooperazione economica.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

Il prossimo passo sarà redigere e concordare l’accordo definivo, che dettagli i principi concordati. Gli impegni previsti a carico degli Stati Uniti saranno inclusi in un ordine esecutivo che costituirà la base di un progetto di decisione di adeguatezza della Commissione Europea, per mettere in atto il nuovo quadro transatlantico per la privacy dei dati.

Intanto negli Usa…

A questo punto, è bene andare a vedere cosa succede negli Stati Uniti, ancora lontani da una legge federale dedicata alla protezione dei dati personali e con leggi molto diverse tra loro a livello locale.

La California, da sempre all’avanguardia tra gli stati USA nella strutturazione di una compiuta normativa dedicata alla protezione dei dati personali, sta lavorando alla costruzione della sua autorità dedicata alla privacy, istituita con il California Privacy Rights Act (CPRA) del 2020.

La normativa californiana è stata una delle prime norme specificamente dedicate alla protezione dei dati personali degli Stati Uniti. Nel giugno 2018 è stato approvato il California Consumer Privacy Act, che ha creato nuovi diritti per i californiani e nuovi significativi obblighi di protezione dei dati per le imprese. Il CCPA è entrato in vigore il 1° gennaio 2020 e la sua applicazione da parte del California’s Office of the Attorney General è iniziata il 1° luglio 2020. Nell’agosto seguente, sono entrati in vigore anche i Regolamenti CCPA.

Nel novembre 2020 è stato poi approvato il California Privacy Rights Act CPRA, che ha modificato il CCPA, aggiungendo ulteriori protezioni per la privacy dei consumatori. La maggior parte delle disposizioni del CPRA entreranno in vigore il 1° gennaio 2023.

La California Privacy Protection Agency

Al fine di implementare e far rispettare la normativa, il CPRA ha istituito la California Privacy Protection Agency, investita di pieni poteri amministrativi, autorità e giurisdizione per implementare e far rispettare il CCPA, inclusi ampi poteri di ispezione e sanzione.

La CPPA è responsabile di intraprendere iniziative educative per promuovere la consapevolezza dei cittadini e comprendere i rischi, le regole, le responsabilità, le garanzie da rispettare nella raccolta, nell’uso, nella vendita e nella divulgazione delle informazioni personali. La CPPA fornirà linee guida chiare per le organizzazioni e i consumatori.

La CPPA è stata anche incaricata di fornire consulenza tecnica, guida e competenza alla legislatura della California dedicata alla privacy, dovrà fornire linee guida alle imprese sul rispetto del CPRA, adottare nuovi regolamenti e aggiornare quelli esistenti.

Infine, il CPPA ha il mandato di indagare su possibili violazioni del CPRA, condurre ispezioni, infliggere sanzioni per le violazioni e adire l’autorità giudiziaria proponendo un’azione civile per recuperare le sanzioni non pagate. Il procuratore generale della California mantiene il potere di far rispettare il CPRA e dovrà coordinare le sue azioni con il CPPA. L’erogazione delle sanzioni inizierà il 1 luglio 2023, a sei mesi dall’entrata in vigore del CPRA.

L’arduo compito della CPPA

La California Privacy Protection Agency è ancora in fase di definizione. L’arduo compito è stato assegnato a Ashkan Soltani, esperto di privacy che ha lavorato nella Federal Trade Commission e ora direttore esecutivo della California Privacy Protection Agency, che sarà costituita da circa 30 persone e avrà un budget annuo di circa 10 milioni di dollari. Il consiglio della CPPA è composto da esperti in privacy, tecnologia e diritti dei consumatori.

Soltani sta sviluppando la prima autorità degli Stati Uniti specificamente dedicata a garantire l’applicazione della normativa a tutela della privacy, affrontando l’arduo compito di disciplinare e controllare il modo in cui grandi aziende del calibro di Google, Facebook, Amazon raccolgono e utilizzano i dati di milioni di persone e per farlo ha chiamato in aiuto diverse organizzazioni, tra cui il Dipartimento di Giustizia della California, diverse associazioni di consumatori, gli ordini dei medici e persino Scott Chaney, il direttore esecutivo del Horse Racing Board[1]. Soltani sta letteralmente inventando un dipartimento statale quasi da zero e per farlo ha invitato tutti gli stakeholders a collaborare e inviare proposte e commenti.

L’Agenzia ha, quindi, iniziato una intensiva attività preliminare di raccolta di informazioni. Il contributo pubblico in questa fase aiuterà l’Agenzia a sviluppare i nuovi regolamenti, a determinare se sono necessari cambiamenti ai regolamenti esistenti e a raggiungere gli obiettivi normativi della legge nel modo più efficace.

In particolare, l’agenzia ha chiesto al pubblico, alle organizzazioni non profit e alle imprese di fornire suggerimenti e commenti nel periodo da settembre a novembre 2021 sui temi maggiormente critici, ovvero:

  • nell’individuazione dei trattamenti che presentano un rischio elevato per la privacy o la sicurezza dei consumatori, che richiedono l’esecuzione di audit di cybersecurity e valutazione del rischio da parte delle aziende;
  • i diritti di accesso e opt-out;
  • i controlli che l’Agenzia dovrà effettuare;
  • i diritti dei consumatori di cancellare, correggere i propri dati ed essere informati;
  • i diritti dei consumatori di opporsi alla vendita o alla condivisione dei loro dati personali e di limitare il trattamento e la comunicazione dei dati personali sensibili;
  • la definizione dei criteri che dovrebbero governare la determinazione di un’azienda nel fornire informazioni all’interessato;
  • l’integrazione delle casistiche rientranti nelle definizioni e categorie stabilite nel CCPA e nel CPRA.

Attivisti della privacy e gruppi industriali scatenati

I commenti e i suggerimenti delle grandi aziende US, in particolare delle Big Tech, social network e associazioni di consumatori sono pubblicati sul sito dell’autorità e sono estremamente interessanti.

Attivisti della privacy e gruppi industriali hanno presentato centinaia di pagine di commenti, cercando di influenzare le decisioni dell’Agenzia. Google, per esempio, ha chiesto di scrivere regole che forniscano “flessibilità per le imprese di rispondere alle richieste dei consumatori in un modo che privilegi la sostanza sulla forma” e di allinearsi con le leggi sulla privacy di altri stati.

I prossimi passi dell’Agenzia saranno delle sessioni informative per gli stakeholder, per poi iniziare le formali attività di regolamentazione. Soltani ha dichiarato che i primi provvedimenti saranno emessi entro l’anno.

Le sfide saranno molte e l’agenzia dovrà confutare i dubbi degli attivisti della privacy sul fatto che il budget non sia adeguato a permettere un’efficiente sorveglianza dell’operato delle più grandi aziende del mondo e nei prossimi mesi, dovrà tradurre i feedback ricevuti in regole rigorose.

“È la cosa più difficile che ho fatto nella mia vita, ma penso anche potenzialmente la più impattante”, ha dichiarato Soltani, dalla sua casa di Oakland, in California[2]. “Abbiamo l’opportunità di proteggere la privacy, capendo come interagisce con le nuove tecnologie che abbiamo costruito qui in California”, ha detto Jennifer Urban, professore di diritto presso l’Università della California, Berkeley, che il governatore Gavin Newsom ha scelto per guidare il board della nuova Agenzia.

L’approccio della California sotto la lente

L’approccio della California è osservato da tutti gli stati poiché testerà se avere un’autorità esclusivamente dedicata alla garanzia della privacy può essere efficace nella protezione della privacy dei cittadini

La previsione di autorità indipendenti dedicate alla protezione dei dati personali è un saldo principio in Europa, dove vige il General Data Protection Regulation. Eppure, anche gli strumenti utilizzati nell’Unione Europea sono stati criticati, poiché le autorità europee non hanno risorse sufficienti per affrontare i giganti della Silicon Valley. Questi dubbi sono emersi anche in relazione all’Agenzia della California che dovrà affrontare, con il suo budget di 10 milioni di dollari annui potenze come Google e i suoi 76 miliardi di dollari di profitto solo lo scorso anno, per fare un esempio. Sono molte le aziende plurimiliardarie che l’Agenzia dovrà fronteggiare.

Inevitabilmente, l’Agenzia “sarà soggetta a pressione politica”, ha detto Tracy Rosenberg, il direttore esecutivo della Media Alliance associazione senza scopo di lucro[3], gruppo di interesse pubblico della Bay Area, che lavora anche con Oakland Privacy.

Il lavoro dell’Agenzia ha attirato l’interesse di tutto il mondo. Wojciech Wiewiorowski, il garante europeo della protezione dei dati, ha detto di aver parlato con Soltani quest’anno e di aver visto l’agenzia californiana come un valido alleato nella protezione dei dati personali e per affrontare il dibattito con le grandi aziende di tecnologia.

La legge ha anche rinvigorito gli sforzi statali e federali per adottare una legislazione completa sulla privacy, ma le difficoltà sono numerose e la legge federale non ha visto la luce. Le norme statali stanno riempiendo un vuoto lasciato dal Congresso: i legislatori di entrambi i partiti hanno a lungo detto che avrebbero sostenuto una legge nazionale sulla privacy, ma i negoziati a Washington si sono arenati. California, Colorado e Virginia hanno emanato proprie normative specificamente dedicate alla protezione dei dati personali, e lo Utah e Oklahoma li raggiungeranno a breve. Anche altri stati stanno valutando proposte di legge, in un mosaico di norme che rendono assai difficile gestire i diversi adempimenti da parte delle aziende.

Note

  1. How California Is Building the Nation’s First Privacy Police, The New York Times, David McCabe https://www.nytimes.com/2022/03/15/technology/california-privacy-agency-ccpa-gdpr.html
  2. How California Is Building the Nation’s First Privacy Police, The New York Times, David McCabe https://www.nytimes.com/2022/03/15/technology/california-privacy-agency-ccpa-gdpr.html
  3. https://www.mcezone.com/how-california-is-building-the-nations-first-privacy-police/
WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4